Alors que le numérique prend une place sans cesse croissante dans le quotidien des collectivités territoriales, il serait tentant de penser que ces dernières ont pris la mesure des risques qu’elles encourent. Certaines initiatives locales laissent d’ailleurs entendre, ça et là, que tel est bien le cas. La cybersécurité serait un enjeu dont elles ont saisi l’importance. L’avance prise en la matière par certaines villes, comme Rennes, nous conforte d’ailleurs dans cette idée.
Et soudain, la dure réalité revient au galop. Non, les collectivités n’ont pas, dans l’ensemble, conscience du problème. En témoigne l’expérimentation menée dans les Hauts-de-France avec la plate-forme cybermalveillance.gouv.fr, du 30 mai au 13 octobre dernier. Un dispositif gratuit « incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur » visant notamment à mettre en relation les victimes d’attaques – entreprises, collectivités, particuliers – avec des prestataires de proximité et de confiance.
Les Hauts-de-France, territoire d’expérimentation
Si la région des Hauts-de-France a été choisie pour tester ce dispositif – qui a été lancé à l’échelle nationale le 17 octobre – c’est pour deux raisons explique Jérôme Notin, directeur général du groupement d’intérêt public créé pour l’occasion. « Notre région est d’abord très représentative du pays parce qu’il y a de grandes agglomérations et des départements qui sont un peu moins urbanisés. Elle est également très active sur tous les sujets cyber. Et les autorités locales sont extrêmement bienveillantes. Elles connaissent particulièrement bien le sujet. »
Durant plus de quatre mois, l’expérimentation a donc été menée. Plus de 700 mises en relation ont été effectuées. Près de la moitié des attaques ont pris la forme des rançongiciels, un logiciel malveillant qui prend en « otage » les données personnelles et les restitue contre le versement d’une « rançon ».
S’il reste un travail de fond à fournir pour faire connaître la plate-forme, cet échantillon permet déjà de tirer quelques conclusions. Parmi les victimes de ce type d’attaques, il y avait
- 30% d’entreprise,
- 64% de particulier
- et 6% d’administration
Les collectivités en retard
Dans les faits, impossible de savoir si dans ces 6%, ce sont surtout les administrations d’Etat ou les collectivités qui sont menacées. Ces dernières n’ont bien souvent pas les compétences pour s’en rendre compte. Mais cette explication est loin d’être suffisante. Pour que le dispositif soit efficace, il faut le faire connaître. Et pour y parvenir, il faut de la bonne volonté à tous les étages, ce qui est rarement le cas.
« On a pris l’initiative de contacter certains acteurs. Dans l’ensemble, nous avons eu une écoute extrêmement attentive, lance Jérôme Notin. Mais par exemple, on a essayé d’échanger avec l’Association des maires de France et ils ne nous répondent pas. Dans la constitution du GIP, on a des syndicats, des associations professionnelles qui sont extrêmement représentatives, que ce soit pour les victimes ou les prestataires de proximité. Évidemment, pour les collectivités, on a essayé de trouver des caisses de résonance. Et l’AMF, évidemment, en premier lieu, doit nous aider. »
D’après nos informations, l’AMF a toutefois pris contact, quelques jours après le lancement au niveau national de la plate-forme, avec les responsables du dispositif dans le but d’engager une discussion constructive. Mieux vaut tard que jamais. Mais la preuve est une nouvelle fois faite que les acteurs publics n’ont pas encore fait de la cybersécurité une priorité.
Un véritable maillage national
Si les administrations n’ont pas répondu présent, les prestataires se sont, eux, mobilisés. Ils sont 1 310 à avoir proposé leurs services. Parmi eux, 1 120 ont été validés, permettant une couverture importante du territoire. Pour une victime, le dispositif permet en moyenne une mise en relation avec huit prestataires différents.
Pour Jérôme Notin et ses équipes, il reste toutefois un important travail à fournir pour permettre à la plate-forme de remplir ses objectifs. A savoir cette mise en relation des victimes avec les prestataires, mais pas uniquement. Il existe aussi un volet prévention et un aspect plus analytique, qui consiste à collecter des informations pour créer un « observatoire de la menace ».
Pour ce faire, trois axes de travail ont donc été dégagés :
- « faire connaître le dispositif »,
- « produire et diffuser du contenu et des services de sensibilisation »,
- mais aussi « développer et animer le réseau de prestataires ».
A l’évidence, le premier apparaît comme le plus urgent.
Cet article est en relation avec le dossier
Thèmes abordés